Studi kasus ini menunjukkan bagaimana penyedia SaaS B2B Eropa menyusun Sistem Manajemen Keamanan Informasinya untuk memenuhi ekspektasi ISO/IEC 27001 sekaligus meminimalkan upaya tambahan dan gangguan terhadap pekerjaan sehari-hari.
Profil Perusahaan: Penyedia SaaS B2B Eropa yang Melayani Pelanggan Perusahaan
Perusahaan mengembangkan dan mengoperasikan platform perangkat lunak sebagai layanan (SaaS) B2B yang digunakan oleh organisasi di seluruh Eropa dan Amerika Utara. Solusi ini mendukung alur kerja operasional inti dan terintegrasi dengan sistem pelanggan, memproses data penggunaan, serta data pribadi yang terbatas.
Organisasi ini mempekerjakan sekitar 70 orang, termasuk tim rekayasa, produk, dan tim yang berhadapan dengan pelanggan yang bekerja dalam pengaturan terdistribusi. Pendapatan tahunan diperkirakan sekitar USD 8–12 juta, didorong oleh kontrak jangka panjang dengan pelanggan menengah dan pelanggan perusahaan. Seiring berkembangnya basis pelanggan, jaminan keamanan informasi yang formal menjadi persyaratan dalam proses penjualan dan perpanjangan kontrak.
Konteks Bisnis: Persyaratan Pelanggan Perusahaan Mendorong ISO/IEC 27001
Keputusan untuk mengejar sertifikasi ISO/IEC 27001 didorong oleh ekspektasi pelanggan perusahaan. Kuesioner keamanan, penilaian vendor, dan negosiasi kontrak memerlukan bukti adanya Sistem Manajemen Keamanan Informasi yang terstruktur dan terpelihara.
Pemangku kepentingan utama yang terlibat dalam inisiatif ini meliputi:
- Pelanggan perusahaan – mengharapkan kontrol yang terdokumentasi, manajemen risiko, dan bukti audit yang andal;
- Pendiri dan CEO – bertanggung jawab atas tata kelola, komitmen kontraktual, dan kepercayaan;
- CTO – bertanggung jawab atas kontrol teknis, keamanan sistem, dan kesinambungan operasional.
Beberapa tantangan terlihat sejak awal:
- Informasi keamanan tersebar di berbagai alat – kebijakan, tinjauan, dan bukti disimpan di beberapa lokasi;
- Gambaran menyeluruh terbatas – tidak ada satu tempat untuk melihat risiko, kontrol, aset, dan insiden secara bersamaan;
- Risiko beban proses yang berlebihan – kekhawatiran bahwa persiapan ISO dapat menambah upaya tanpa manfaat internal yang jelas;
- Pengalaman ISMS terbatas – keterampilan teknis yang kuat, tetapi minim praktik dalam tata kelola keamanan formal.
Implementasi: Integrasikan ISO/IEC 27001 Ke Dalam Manajemen Berkelanjutan
Sebelum menetapkan pendekatan akhir, perusahaan meninjau beberapa platform GRC mapan yang umum digunakan untuk sertifikasi ISO/IEC 27001. Alat-alat ini dinilai sesuai untuk mengelola alur kerja sertifikasi, tetapi kurang selaras dengan praktik manajemen yang sudah ada di perusahaan.
Pada saat yang sama, perusahaan sudah menggunakan BSC Designer untuk memantau rencana strategis dan prioritas pelaksanaan internal. Memperluas struktur yang sudah ada ini untuk mencakup manajemen keamanan informasi dipandang sebagai langkah yang logis, sehingga ISO/IEC 27001 dapat ditanamkan ke dalam siklus tata kelola dan peninjauan yang telah mapan.
Pada tingkat teknis, ini diterjemahkan menjadi:
- Dokumentasi kebijakan – kebijakan internal dan prosedur dikonsolidasikan dalam lingkungan penyimpanan berkas daring yang aman;
- Tata kelola ISMS – ruang lingkup, peran, ritme peninjauan, dan tindakan perbaikan dipelihara dalam kartu skor ISMS khusus, sementara pemangku kepentingan dan maksud strategis mereka ditautkan dari kartu skor pemangku kepentingan yang sudah ada;
- Kontrol keamanan – kontrol dimodelkan sebagai indikator dengan ID unik, pemilik, frekuensi peninjauan, dan bukti yang dilampirkan pada setiap peninjauan;
- Manajemen risiko – risiko dilacak menggunakan fungsionalitas risiko bawaan BSC Designer, yang memungkinkan penilaian terpisah atas probabilitas dan dampak, serta tingkat risiko inheren dan residual, tindakan penanganan, status penerimaan, dan pemilik yang bertanggung jawab;
- Aset dan vendor – aset dan pihak ketiga didokumentasikan menggunakan kartu skor yang diperluas dengan bidang kustom yang mencerminkan klasifikasi, tingkat kekritisan, dan persyaratan peninjauan;
- Insiden dan temuan – insiden keamanan, kejadian nyaris terjadi, dan temuan audit dicatat dan dilacak melalui tindakan korektif hingga terselesaikan.
Harapan klien adalah memiliki kontrol keamanan yang hidup dan selaras strategi:
“Kami tidak menginginkan dokumentasi keamanan yang hanya ada untuk auditor. Jika kami tidak dapat meninjau, memperbarui, dan menjelaskannya sendiri, itu tidak berguna bagi kami.”
Harapan ini membentuk bagaimana ISMS dibangun dan digunakan. Sebagai contoh, kontrol yang didefinisikan untuk ISO/IEC 27001 juga digunakan kembali sebagai masukan untuk penilaian risiko dan kartu skor manajemen di luar cakupan audit, guna mendukung keputusan operasional dan strategis.
Satu kekhawatiran praktis yang muncul selama implementasi menyoroti risiko audit yang umum:
“Risiko terbesar kami adalah kehilangan bukti di berbagai lokasi saat auditor memintanya.”
Untuk mengatasi hal ini, bukti diunggah langsung ke setiap peninjauan kontrol dan ditautkan ke tanggal pembaruan kontrol. Setiap item bukti disertai komentar penjelasan singkat dari pengunggah, yang memberikan konteks mengenai mengapa bukti tersebut relevan dan apa yang dibuktikannya.
Hak akses dikonfigurasikan sehingga auditor dapat diberikan akses hanya-baca ke kartu skor yang relevan untuk periode tertentu. Hak modifikasi dibatasi untuk peran yang berwenang setiap saat, memastikan bahwa konten ISMS tidak dapat diubah secara tidak sengaja atau tanpa akuntabilitas.
Semua perubahan di dalam platform secara otomatis dicatat dalam jejak audit terpusat. Jejak audit yang sama dapat difilter untuk menampilkan riwayat perubahan item tertentu, seperti kontrol individual, risiko, atau insiden, sehingga auditor dan manajemen dapat meninjau bagaimana setiap item berkembang dari waktu ke waktu tanpa memelihara riwayat versi terpisah.
Hasil: ISMS Terpusat, Bukti Andal, Hambatan Audit Berkurang
Setelah implementasi, perusahaan mengamati beberapa hasil nyata yang meningkatkan kesiapan audit dan kejelasan internal.
- Gambaran umum ISMS terpusat – risiko, kontrol, aset, vendor, dan insiden terlihat dalam satu tempat;
- Penanganan bukti yang konsisten – bukti ditinjau dan disimpan bersama dengan kontrol terkait;
- Akuntabilitas yang jelas – Pemilik ditetapkan untuk semua elemen kunci ISMS;
- Upaya audit lebih rendah – data audit disiapkan tanpa pelaporan manual;
- Diskusi pelanggan yang lebih kuat – respons terhadap pertanyaan keamanan perusahaan menjadi lebih jelas dan lebih konsisten.
Perusahaan juga melacak beberapa indikator ISMS tingkat tinggi, termasuk:
- Penyelesaian tinjauan kontrol – kontrol ditinjau dalam jangka waktu yang ditetapkan;
- Insiden dan temuan terbuka – jumlah dan usia masalah yang belum terselesaikan;
- Status penerimaan risiko – risiko yang menunggu persetujuan atau penanganan;
- Cakupan tinjauan vendor – tinjauan pihak ketiga diselesaikan sesuai rencana.
Bagaimana Menerapkan ISO 27001 Dengan Upaya Lebih Sedikit?
Sertifikasi ISO 27001 memerlukan upaya yang signifikan, tetapi jika diterapkan dengan benar, sertifikasi ini dapat (1) menjadi penggerak nilai yang nyata dan (2) diterapkan dengan upaya yang lebih sedikit:
- Jadikan kesiapan ISO sebagai bagian dari sistem manajemen yang sudah ada – gunakan kembali struktur yang telah mapan alih-alih membuat proses paralel;
- Tempatkan bukti dekat dengan kontrol – simpan konteks dan justifikasi bersama dengan setiap tinjauan;
- Terapkan kontrol akses dengan keterlacakan penuh – memungkinkan transparansi tanpa mengorbankan integritas;
- Gunakan platform terstruktur seperti BSC Designer – untuk menjaga kejelasan, akuntabilitas, dan kesiapan audit dari waktu ke waktu.
BSC Designer adalah perangkat lunak pelaksanaan strategi dengan Kartu Skor Berimbang sebagai inti. Perangkat ini membantu organisasi mengubah rencana strategis menjadi arsitektur strategi yang terhubung dengan menyelaraskan tujuan, KPI, Inisiatif, risiko, dan Peta Strategi dalam satu tempat. sistem penerapan strategi kami menjelaskan cara menerapkan strategi dalam praktik, dan templat lokakarya pelaksanaan strategi membantu tim menerapkannya dalam sesi strategi internal.